GDPR / AVG en online marketing

Over de GDPR

De General Data Protection Regulation, in Nederland de Algemene Verordening Gegevensbescherming (AVG), is de grootste verandering in 20 jaar qua privacy wetgeving. De wet is al actief, maar zal vanaf 25 mei 2018 gehandhaafd worden. De wetgeving raakt alle toepassingen van persoonlijke data in organisaties. De consequenties, ook voor online marketing, zijn daarom niet te onderschatten.

De wetgeving is complex en de praktische invulling zal vooral blijken uit jurisprudentie vanaf het moment dat de handhaving intreedt. We geven hier dan ook een overzicht van hetgeen dat al wél bekend is, hoe dit ons vakgebied online marketing raakt en de stappen die je als organisatie nu al kunt zetten.

Waarom en voor wie?

In het verleden zijn organisaties te onzorgvuldig omgegaan met persoonlijke data, wat het vertrouwen van de consument geschaad heeft. Onder “persoonsgegevens” worden zowel gegevens verstaan die direct herleidbaar zijn naar een individu (zoals e-mail- of IP adressen) maar ook pseudo anonieme data (zoals klantnummers).

In essentie is de GDPR bedoeld om de rechten en vrijheden van Europese burgers te beschermen. Ongeacht waar in de wereld de persoonsgegevens verwerkt worden. De GDPR heeft daarmee wereldwijde impact, het raakt niet alleen Europese bedrijven. Als je bedrijf in de EU bent moet je eraan voldoen. Als je een bedrijf buiten de EU bent en je hebt Europese klanten, dan moet je er ook aan voldoen.

Impact op jouw organisatie

Je moet te allen tijde inzicht kunnen geven in de persoonlijke data die je van individuen bezit (dataportabiliteit). Een bedrijf moet toezien op de juistheid van de beschikbare data en die mogen tijdens de verwerking niet worden gewijzigd. Het is dus ook nodig om te allen tijde vast te leggen wie toegang heeft tot data en wanneer deze mogelijk zijn gewijzigd.

Je moet deze persoonlijke data op individueel niveau kunnen verwijderen (recht om vergeten te worden). Een organisatie die een verzoek tot vernietiging ontvangt, moet alle data in leesbare vorm overdragen en vervol­gens volledig verwijderen.

Om persoonlijke data te gebruiken moet je expliciete en ondubbelzinnige toestemming hebben van het individu. En de mogelijkheid geven om de toestemming weer in te trekken! Dat kan bijvoorbeeld door middel van een omgeving op je website waar individuen in kunnen zien welke gegevens je van ze bewaart en waar ze ook wijzigingen in kunnen maken of doorgeven.

  • Je mag alleen persoonlijke data opslaan die je nodig hebt. Dataverzameling is niet toegestaan als je niet kunt toelichten waarom je het nodig hebt.
  • Je mag persoonlijke data niet oneindig bewaren. Dit mag alleen zo lang als dat logischerwijs noodzakelijk is. Daarna moet het verwijderd worden.
  • Je moet kunnen bewijzen dat je persoonlijke data en datastromen adequaat beveiligd hebt. Sterker nog, dit kan een eventuele boete verlagen.

Als bedrijf moet je te allen tijde kunnen bewijzen waar en wanneer iemand toestemming heeft gegeven voor de communicatie die hij of zij ontvangt. Is je vastlegging hiervan uit het verleden niet volgens de GDPR dan kun je deze vastlegging in de prullenbak gooien en opnieuw toestemming vragen en correct vastleggen.

Voldoe je niet aan bovenstaande regels en volgt er controle, dan kunnen er forse boetes voor staan. Dit kan oplopen tot 20 miljoen of maximaal 4% van de jaaromzet per overtreding. Er is aangekondigd dat er ook daadwerkelijk gehandhaafd zal worden en dat dit in niets zal lijken op de cookiewet van een aantal jaar geleden. Dit verkondigde o.a. Aleid Wolfsen, voorzitter van de autoriteit persoonsgegevens in november. In een interview met het Financieel Dagblad waarschuwde hij al dat het ‘heel vervelend’ kan worden voor bedrijven.

Impact op (online) marketing

Om relevanter te zijn werken we steeds meer met (persoonlijke) data binnen online marketing. De wetgeving raakt dus veel van deze toepassingen. Denk aan:

  • Advertentie targeting: remarketing (of RLSA) lijsten, custom audiences, lookalike doelgroepen. Targeten op interesses of demografie mag niet meer zonder ondubbelzinnige toestemming van een individu – of deze nu al klant is of niet. Dit laatste is data die de netwerken (Google, Facebook, etc.) zelf beheren. Zij zullen naar verwachting ook met oplossingen hiervoor komen. Dit is nog niet volledig duidelijk op moment van schrijven.
  • Tracking: Analytics, optimalisatie tools als Hotjar, maar ook customer data platforms als BlueConic. Zonder toestemming van gebruikers moeten bijvoorbeeld ook IP-adressen in Analytics geanonimiseerd worden.
  • CRM’s en andere databronnen binnen de organisatie.
  • Partnerships: als partijen waar je mee samenwerkt gebruikmaken van data die eigendom is van jouw organisatie, moet dat vastgelegd worden. Alle  advertentienetwerken zullen ook verwerkingsovereenkomsten hiervoor gaan uitrollen.
  • E-mail: als je een e-mail verzendt, moet dat ófwel nodig zijn in het kader van een lopende overeenkomst, ófwel met toestemming van de ontvanger. De vraag of er toestemming is moet je onder de GDPR kunnen beantwoorden op het moment van verzenden. Het is niet nodig om te bewijzen dat je dat in bijvoorbeeld 2015 ook mocht. Maar toestemmingen die je onder het oude regime verzameld hebt, kunnen allemaal de prullenbak in. Tenzij je die oude toestemmingen al zodanig geformuleerd en geadministreerd had dat ze conform GDPR zijn (dus expliciet, default-uit, eenduidig, begrijpelijk, bewijsbaar, etc). De wetgeving geldt voor alle informatie die terug te herleiden is naar een persoon. Dus het geldt voor alle e-mailadressen. Er wordt dus geen onderscheid gemaakt tussen professionele en niet professionele adressen. De wetgeving raakt dus ook B2B!
  • Upsellen wordt lastiger. Je zult voor elk aanbod toestemming nodig hebben. Je mag dus niet iemand die toestemming heeft gegeven zijn gegevens te bewaren voor een jaar bij kopen van product X, ook product Y aanbieden dat er goed bij past. Voor product Y aanbieden heb je opnieuw toestemming nodig.

De impact gaat echter verder dan wijzigingen in kanalen en tools. Je zult als bedrijf veel meer moeite moeten doen en echt kwaliteit moeten bieden om een bezoeker te overtuigen dat je zijn of haar data waard bent. Relaties opbouwen en onderhouden met potentiële en bestaande klanten komt voorop te staan. En daarmee ook hoe en wat je communiceert. Vage boodschappen, slechte producten en diensten krijgen met de wetgeving vermoedelijk met de tijd vanzelf minder aandacht.

GDPR en veelgebruikte online marketing tools

Hoe gaan de diverse online marketing tools om met de GDPR wetgeving? Hieronder een overzicht dat doorlopend bijgewerkt zal worden n.a.v. er meer bekend wordt:

  • Google Analytics: er is voor zover wij weten nog geen officieel statement voor Analytics. Google zal uiteraard aan de wet gaan voldoen en functies daar op aanpassen. Het algemene statement van Google omtrent compliance vind je hier. De autoriteit persoonsgegevens heeft een handleiding beschikbaar gesteld in oktober 2017 voor het instellen van Google Analytics. Deze vind je hier. Het kan geen kwaad nog even te wachten met doorvoeren tot Google zelf met aanpassingen komt.
  • Google AdWords: hier zijn al nieuwe voorwaarden gelanceerd, die alle gebruikers moeten accepteren. Voor remarketing geldt dat dit straks niet meer mag zonder ondubbelzinnige toestemming. Bedrijven zullen creatief moeten worden hierin, want al eerder onderzocht het IAB dat 36% van de mensen remarketing als reden geven voor gebruik van een adblocker. Je reden moet goed zijn om toestemming te krijgen.
  • Hotjar: heeft een statement omtrent de GDPR uitgebracht.
  • Optimizely: idem.
  • Facebook: heeft nog niets concreet bekend gemaakt over hoe ze met de wetgeving om zullen gaan.
  • Mailchimp: Er is een GDPR guide uitgebracht voor Mailchimp klanten.
  • Copernica: Er is een bericht gepubliceerd met alle relevante informatie.
  • Blueconic: Zal volledig compliant zijn aan de GDPR. De software komt waarschijnlijk met functionaliteiten waarmee je on-site toestemming voor het gebruik van data kunt vragen aan bezoekers.

Toestemming verkrijgen

Je zult van iedere bezoeker moeten vragen waar je zijn / haar gegevens voor mag gebruiken. Dat wil zeggen: voor elk onderdeel zul je toestemming moeten vragen. Tenzij je aan kunt tonen dat je dat op een eerder moment al hebt verkregen. Dat is met e-mail te doen, via andere wegen is het misschien lastiger – vooral omdat het vaak via cookies gaat. Dat betekent bijvoorbeeld het stellen van de volgende vragen:

  • Mogen we anonieme analytics verzamelen?
  • Mogen we onze content voor je personaliseren?
  • Mogen we anonieme testen uitvoeren?
  • Mogen we je e-mail sturen met passende aanbiedingen?

Het beste is vroegtijdig te beginnen met toestemming vragen. Oftewel: stel het niet uit tot mei 2018. De software leveranciers zullen op tijd alles klaar hebben en geen ‘illegale’ opties aanbieden.

Hoe vraag je toestemming?

Maar wat is nu de beste manier om toestemming te vragen? We zien steeds meer voorbeelden die volledig transparant zijn en direct aangeven wat je voor de toestemming terugkrijgt. In prijsbewuste markten kun je bijvoorbeeld aangeven: dit doen we met je gegevens, maar daar krijg je vaker betere aanbiedingen voor terug. Dus: wat gaat jouw organisatie klanten bieden in ruil voor hun data? Het juiste aanbod kan hierin een groot verschil maken. Vaak is simpel het beste – geef je toestemming dan krijg je betere kortingen, acties en andere aanbiedingen. Uiteraard moet er getoetst worden of dit door de beugel kan en of internetgebruikers dit accepteren.

We verwachten dat er ook veel creatieve vormen zullen gaan volgen. Waar mogelijk zullen we deze toevoegen aan dit artikel.

Hoe maak je je organisatie GDPR-proof?

Databronnen in kaart brengen

De eerste stap is onderzoeken en begrijpen welke data jouw organisatie bezit, waar het wordt opgeslagen, waarom je het hebt en hoe lang je van plan bent het te houden. Dit kan in allerlei vormen zijn opgeslagen. Van digitale systemen tot spreadsheets, sharepoint sites, papier, (oude) netwerkschijven, usb-sticks, etc.

Data Protection Officer aanstellen

Als een organisatie aan bepaalde voorwaarden voldoet moeten ze een DPO aanstellen. (Data Protection Officer). Een bedrijf komt hiervoor in aanmerking als:

  • Het bedrijf persoonlijke data op een grote schaal verwerkt;
  • Het een Openbare Autoriteit is;
  • Het bedrijf gevoelige data verwerkt.

De DPO ziet toe op naleving van de GDPR en is contactpersoon omtrent dataverzoeken. Dit kan een extern iemand zijn. De DPO is beschermd door de wet en mag geen conflicterende belangen hebben t.a.v. een bedrijf.

Data Privacy Impact Assessment uitvoeren

Om de risico’s en te nemen maatregelen voor jouw organisatie in kaart te brengen, is een Data Privacy Impact Assessment (DPIA) zeer waardevol. Dit is een instrument waarmee je privacyrisico’s omtrent gegevensverwerking definieert. Op basis daarvan tref je maatregelen om die risico’s te verkleinen. Vanaf 25 mei kan het zelfs verplicht worden een DPIA uit te voeren, dat geldt voor toepassingen met een verhoogd privacyrisico.

Take-aways (TL;DR)

  • De wetgeving moet vooral een verandering in mindset teweeg brengen. Voor ‘spammers’ is het game over, je (marketing)communicatie moet de moeite waard zijn. Voor individuen betekent het een hoop macht, die nu vaak ver te zoeken is.
  • Als je met je strategie volledig op acquisitie marketing leunt of op onrechtmatige dataverzameling/-verwerking, heb je een grote uitdaging.
  • Relaties met je klanten onderhouden en het vertrouwen van de consument (terug)winnen wordt heel erg belangrijk. Wie dit goed doet, loopt voorop.
  • Creativiteit en oprechtheid krijgen (weer) een grote rol in marketing. Fake it till you make it wordt erg lastig.
  • Toestemming van klanten biedt ook transparantie voor bedrijven: dit is echt iemand en die stelt echte informatie (eIDAS verordening) ter beschikbaar waar je iets mee mag of kan doen. Fraude kan hiermee ook een stuk kleiner worden en je hoeft niet allerlei controle in bijvoorbeeld je webshop in te bouwen.
Share This